Сергей Чуприс
CNews: В чем специфика работы Калининградского научно-исследовательского центра информационной и технической безопасности?
Сергей Чуприс: Калининградский научно-исследовательский центр информационной и технической безопасности создан при правительстве Калининградской области для осуществления функций по аттестации объектов информатизации и защите персональных данных, у нас есть свой удостоверяющий центр по выдаче электронной цифровой подписи (ЭЦП), аккредитованной Росреестром. Кроме того, у нас есть и учебный центр, эксперты которого готовят специалистов в сфере ИБ, помогая повысить квалификацию в области защиты информации как сотрудникам органов муниципальной и исполнительной власти, так и специалистам частных компаний-заказчиков. Мы собрали молодых и талантливых специалистов, которым интересно не просто наблюдать за надвигающейся волной киберпреступности, но и противодействовать ей.
Цель нового центра кибербезопасности, который мы делаем на базе КГ НИЦ, – поднять уровень информационной безопасности региона до современных международных стандартов, защитить как правительство региона, так и бизнес. В перспективе центр станет частью системы автоматизированного обмена информацией об угрозах и обеспечит противодействие киберугрозам на уровне региона в соответствии с программой по борьбе с киберпреступностью, озвученной этим летом Владимиром Путиным.
CNews: Как вы оцениваете уровень киберпреступности в Калининграде по сравнению с общероссийским?
Сергей Чуприс: Статистика по атакам в нашем регионе и в России в целом совпадает с разницей до 1−2%. Так же, как и на территории других регионов страны, у нас под прицел киберпреступников попадают средства массовой информации, банковские счета частных лиц и так далее. В последние годы мы отмечали рост числа попыток атак на ИТ-инфраструктуру правительства области, что требовало современных подходов к их выявлению. Но, как правило, современные кибергруппировки, даже небольшие, не привязаны к географии или конкретным регионам, поэтому для Калининграда актуальны те же проблемы, что и для Екатеринбурга или, скажем, Владивостока.
CNews: Как возникла идея создать в Калининграде центр кибербезопасности?
Сергей Чуприс: Сегодня центры по противодействию киберугрозам создаются во всем мире. Например, первый отечественный CERT появился еще в 1998 году (сегодня их 6, в том числе отраслевые, такие как FinCERT, к примеру), а зарубежный – и того раньше. Не в последнюю очередь это объясняется ростом числа хакерских группировок и связанного с ними ущерба. Например, премьер-министр Дмитрий Медведев оценил мировые потери от кибератак почти в триллион долларов, а потери России – 600 миллиардов рублей. Страдают граждане, бизнес, государственные организации, промышленные предприятия.
Многие слышали о вирусах-вымогателях, поразивших в прошлом году существенное число предприятий: оператора контейнерных перевозок, автомобильные заводы, крупнейшую фармацевтическую компанию и так далее. Например, один только WannaCry поразил более полумиллиона компьютеров в общей сложности. Поучительна и деятельность группировки Cobalt/Carbanak, укравшей деньги у сотен банков: только в России по публичным данным эта группировка атаковала более 200 организаций и украла более миллирада рублей, всего за несколько лет активности жертвами группировки стало около сотни банков в нескольких странах мира, а общий ущерб превысил миллиард евро. На этих примерах мы видим, что без обмена информацией об угрозах защищаться весьма сложно всем, в том числе финансовым институтам, обладающим большим опытом в сфере ИБ.
Отмечу, что Калининград – один из 25 крупнейших промышленных центров России. У нас, к примеру, расположены такие предприятия, как «Автотор» (один из крупнейших автопроизводителей в России), Прибалтийский судстроительный завод «Янтарь», нефтегазовая компания «Лукойл-Калининградморнефть», международный аэропорт, морские и речные порты и другие. Конечно же, все это представляет интерес и для злоумышленников, поэтому для нас тема противодействия киберпреступности как никогда актуальна. Мы хорошо понимали, что централизация в виде единого SOC позволит нам снизить время реакции на инциденты ИБ и предотвратить серьезные последствия от возможных вторжений в режиме реального времени. Так получилось, что нормативная база по требованиям защиты КИИ и передачи инцидентов безопасности в НКЦКИ (№ 187-ФЗ) вышла одновременно с принятием нами решения о создании своего SOC. Дополнительным аргументом стала федеральная программа «Цифровая экономика», подготовка к реализации которой позволила получить первые средства регионального бюджета на создание центра. Его решено было развертывать на базе программно-аппаратного комплекса PT Platform 187, целиком сформированного из продуктов российского производства.
CNews: Как быстро вы запустили центр и когда удалось получить первые результаты? Какие задачи решены сейчас?
Сергей Чуприс: Проект стартовал в августе 2018 года, и уже через месяц мы ввели центр в эксплуатацию. На первом этапе, то есть в течение первого года работы, источником событий для нас будет часть ИТ-инфраструктуры правительства Калининградской области: министерства, ряд агентств и служб. В общей сложности это около 250 критичных узлов.
Уже в течение недели после начала работы центра мы получили реальную картину защищенности сегментов. В частности, были выявлены уязвимости, через которые может быть осуществлено вторжение, проинвентаризировано установленное программное обеспечение и определена взаимосвязь узлов. Также были выявлены критичные угрозы, к примеру, такие, как использование средств удаленного администрирования для управления групповыми политиками домена.
В течение года после запуска наши специалисты будут разбирать инциденты только на первой линии, то есть обрабатывать типовые сценарии. При возникновении нестандартных и подозрительных событий, которые могут, например, говорить о замаскированной целевой атаке, планируется подключение наших партнеров, обладающих многолетним опытом выявления и расследования киберпреступлений (они отвечают за, так называемые, вторую и третью линии реагирования, расследуют целенаправленные атаки и выявляют актуальные угрозы). Обучают наших специалистов и передают компетенции на места.
CNews: Какое количество объектов КИИ будет подключено к создаваемой системе?
Сергей Чуприс: Наши планы предусматривают пошаговое подключение более 3 тысяч узлов на более чем 30 объектах критической инфраструктуры. Объем обрабатываемых данных при этом составит не менее 5000 сообщений в секунду (сейчас обрабатывается не менее 500 сообщений в секунду), это около 1000 Мбайт/сек и 100 Мбайт/сек соответственно.
В течение 2019−2020 годов мы подготовим криминалистов и аналитиков из числа местных специалистов, которые пройдут дополнительное обучение в организациях, обладающих соответствующими компетенциями. Они будут отвечать за линию обработки сложных инцидентов. Также мы организуем подразделение по компьютерной криминалистике. В течение двух лет мы намерены получить статус центра ГосСОПКА. Это позволит нам оказывать услуги по обнаружению и ликвидации последствий кибератак в органах исполнительной власти, взаимодействовать с НКЦКИ, а также оказывать соответствующие услуги региональным субъектам КИИ.
CNews: Дайте советы тем, кто планирует запустить аналогичный проект. С чего начинать и почему? Как правильно его забюджетировать?
Сергей Чуприс: Слона лучше есть по частям, то есть рассматривать развитие центра на дальнюю перспективу, как минимум на 3–4 года. Понимание задач, которые будет решать центр в дальнейшем, позволяет спланировать бюджет. В нашем случае конечная архитектура центра должна будет отвечать следующей нагрузке: ориентировочное число подключенных узлов – более 3000, распределенность системы, количество площадок – более 30. На каждой площадке необходимо будет обеспечить сбор событий и понимать, какие каналы связи будут построены к этим инфраструктурам.
Расчет финальной архитектуры проекта позволит оценить общую стоимость проекта и распределить бюджет по годам. Грубо говоря, если подготовить техническую часть в первый год, то есть риск не успеть подготовить кадры, и захлебнуться в логах и событиях и инцидентах.
Если говорить о нашем опыте, то мы разделили свои затраты на три этапа, что соответствует нашей стратегии развития кадров, наращивания экспертизы и совершенствования инструментария. На первом этапе мы внедрили PT Platform 187. На втором этапе мы планируем расширить сферу мониторинга до 1000 узлов, для чего необходимо будет из платформы 187 вынести MaxPatrol 8 и MaxPatrol SIEM. Планируется анализировать трафик узлов, до которых сложно дотянуться в рамках PT Platform 187, будет приобретена полнофункциональная версия PT Network Attack Discovery. Два другие продукта – PT MultiScanner (многоуровневая защита от вирусных угроз) и «ПТ Ведомственный центр» (система управления инцидентами и взаимодействия с главным центром ГосСОПКА) не требуют покупки дополнительной лицензии и продолжат работать на сервере PT Platform 187. Также на обоих этапах будет наращиваться и кадровая составляющая центра – мы увеличим число экспертов с таким расчетом, чтобы работы на каждом отдельном участке покрывались силами выделенных экспертов, проведено необходимое обучение, в том числе и в узкоспецифических профессиональных областях, при этом все вышеуказанные действия гармонизированы с национальным проектом «Цифровая экономика».
CNews: Можно ли реализовать проект без привлечения подрядчиков и окупить его? Или вы рассчитываете главным образом на бюджетное финансирование?
Сергей Чуприс: Нас привлек подход, предложивший комплексное моновендорное решение. Один разработчик, одна служба технической поддержки, централизованное получение обновлений – такая концепция в реальных условиях удобна. Предварительное тестирование решения на площадке производителя позволяет получить уже готовую систему и в дальнейшем быстро менять дислокацию. С учетом того, что PT Platform 187 поставляется с установленными и настроенными между собой компонентами, систему необходимо только включить в инфраструктуру: завести трафик, подключить источники событий. Для этого достаточно официального руководства по использованию продукта, которое подробно описывает настройку платформы.
Первый год станет для нас своего рода взлетной полосой, периодом накопления опыта. Во второй и третий годы мы, возможно, начнем оказывать коммерческие услуги по реагированию на инциденты, что позволит выйти на окупаемость и получить ресурс для дальнейшего развития экспертизы, привлечения экспертов, обновления ПО и аппаратного обеспечения.
CNews: Какие риски и подводные камни необходимо учесть при реализации проектов такого типа?
Сергей Чуприс: Прежде чем приступить к созданию центра кибербезопасности, надо выстроить отношения между ИТ- и ИБ-департаментами. Это наиболее распространенная проблема. У служб ИТ запрашиваются определенные данные, которые они не всегда могут или не хотят предоставить. Поэтому сроки реализации проекта напрямую зависят от того, насколько оперативно между собой взаимодействуют службы ИТ и ИБ.
Второй ключевой момент – важно понимать размеры инфраструктуры и объем информации, которая в ней циркулирует, так как комплексное решение из нескольких продуктов имеет естественные ограничения. Надо знать объем обрабатываемого трафика, количество файлов и узлов. Если эти параметры превышают предельные значения, значит компания созрела для enterprise-решений.
И последнее – у заказчика, планирующего создание центра ИБ, должно быть четкое представление о наличии критичных процессов и систем, которые обеспечивают эти процессы. К примеру, это может быть сервер, на котором происходит начисление зарплаты или другие финансово-экономические операции. Дополнительное внимание к защите данных узлов позволит избежать причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и региональному бюджету. Это позволит приоритезировать наиболее важные узлы. Когда подобная подготовка проведена, настройка платформы для создания центра кибербезопасности произойдет очень слаженно и осознанно для заказчика.
Поделиться
